CyberFlow Logo CyberFlow BLOG
Soc L1 Siem Temelleri

Bulut Altyapısı Görünürlüğü: Temel Log Yönetimi Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L1 Siem Temelleri

Bu blog yazısında bulut altyapısının görünürlüğü, temel log yönetimi ve bulut kaynaklarındaki önemli log servislerine dair detaylar öğrenin.

Bulut Altyapısı Görünürlüğü: Temel Log Yönetimi Eğitimi

Bulut altyapısının görünürlüğü, güvenliğin kilit noktalarından biridir. AWS, Azure ve GCP gibi platformlarda temel logları öğrenerek bulut kaynaklarınızı daha iyi yönetin.

Giriş ve Konumlandırma

Bulut (Cloud) Görünürlüğünün Doğası

Günümüzde siber güvenlik konusunda artan endişeler, bulut altyapılarının güvenliğini sağlamak adına yeni stratejilerin geliştirilmesini zorunlu kılmaktadır. Bulut hizmetleri, veri merkezlerinin fiziksel sınırlamalarıyla mücadele eden esnek bir çözüm sunarken, aynı zamanda birçok güvenlik riskini de beraberinde getirir. Bulut ortamlarında görünürlük, güvenliğin sağlanabilmesi için kritik bir unsurdur. Altyapınızı kontrol eden çağrıların takibi ile gerçekleştirilir ve bu süreçte doğru log yönetimi, siber tehditlerin erkenden tespit edilmesine olanak tanır.

Bulut sistemleri, fiziksel araçlara bel bağlamaksızın, yazılım tanımlı bir mimariye dayanır. Bu durum, geleneksel ağlarda verileri izlemek için donanım tabanlı çözümlere başvurulurken; bulutta, işlemlerin izlenmesinin yalnızca API çağrılarıyla (Application Programming Interface) mümkün olduğu anlamına gelir. Bu bağlamda, bulut görünürlüğü, çeşitli logların toplanması, analizi ve yönetimiyle sağlanır. Dolayısıyla, gerekli logların hangi hizmetlerden elde edileceği, tehditleri belirlemek için en önemli bileşendir.

Bulut Sağlayıcıları ve Temel Log Servisleri

Güvenlik Operasyon Merkezleri (SOC), bulut hizmet sağlayıcıları olan AWS, Microsoft Azure ve Google Cloud Platform (GCP) üzerinde bulunan temel log servislerini kullanarak siber tehditlere karşı etkin bir mücadele yürütmektedirler. Örneğin, AWS’de kullanılan CloudTrail servisi, hesap içindeki tüm API etkileşimlerini ve yönetim etkinliklerini saniye saniye kaydeder. Azure'da bulunan Activity Log, abonelik düzeyindeki olayları ve bu olayları gerçekleştiren kullanıcıları takip ederken, GCP'nin Cloud Audit Logs'u, yöneticilerin ve sistem bileşenlerinin bulut kaynaklarına erişim geçmişini tutar.

Bu log servisleri, bulut altyapısındaki herhangi bir anormalliğin ve olası saldırıların belirlenmesine yardımcı olur. SOC analistleri, tehdit avcılığı yaparken, bu servislerin sağladığı verileri analiz ederler. Bu nedenle, her bir sağlayıcının mimarisine ve terminolojisine hakim olmak son derece önemlidir.

Kimlik ve Erişim Yönetimi: Yeni Güvenlik Sınırı

Bulut ortamlarında, geleneksel ağların aksine, siber tehditlere karşı koruma sağlamak için, kimlik ve erişim yönetimi (IAM - Identity and Access Management) önemli bir hale gelmiştir. Bu, bulut altyapısında yer alan kaynakların, kimin erişebileceğini belirleyen politikalarla korunmasını sağlar. Yani bulutun güvenliği, erişim yetkileri ile sağlanır. Dolayısıyla, IAM yapılandırması, bu alandaki en kritik unsurlardan biri olarak öne çıkmaktadır.

Konvansiyonel güvenlik yaklaşımlarında olduğu gibi bir iç ve dış ağ ayrımı söz konusu değildir. Bulutta, tüm kontroller yazılımlar üzerinden gerçekleştirilir ve bu durum siber saldırganlar için yeni fırsatlar doğurmaktadır. Örneğin, bulut kaynaklarına sızan siber suçlular, veri çalmak yerine faturayı kullanıcıya ödeterek kripto para kazımaya (cryptojacking) çalışmaktadır. Bu tür anormalliklerin tespiti, doğru log yönetimi ile mümkündür. SOC operasyonlarında, bu tür durumları izlemek için CloudTrail veya Azure Activity log’ları üzerinde belirli eylem kalıplarının takip edilmesi gerekir.

Log Optimizasyonu: Görünürlüğün Bedeli

Bulut ortamlarında üretilen devasa log verileri, yöneticilerin merkezileştirilmesi gereken bilgilerdir. Ancak, tüm Data Plane ve VPC Flow loglarını eksiksiz şekilde merkezi SIEM (Security Information and Event Management) sistemine iletmek, yüksek depolama ve bant genişliği gereksinimlerine yol açar. Bu durum, SOC yöneticilerinin en büyük zorluklarından biridir. “Güvenlik için kesinlikle hangi loglara ihtiyacım var?” sorusu ile bütçe arasındaki dengeyi sağlamak başlı başına bir mühendislik sorunu haline gelir.

Sonuç olarak, bulut altyapısı görünürlüğü ve log yönetimi, siber güvenlik alanında kritik bir öneme sahip. Hem güvenlik uzmanlarının hem de analistlerin, bulut ortamlarındaki veri akışını etkin bir şekilde izlemeleri ve analiz etmeleri gerekmektedir. Bu bağlamda, logların yönetimi ve analizindeki yetkinlikler, bulut güvenliğini sağlamak için olmazsa olmaz bir yapı taşıdır.

Teknik Analiz ve Uygulama

Bulut altyapılarının güvenliği, özellikle log yönetimi üzerinden sağlanan görünürlük ile büyük bir öneme sahiptir. Bu bölümde, bulut platformları üzerinde log yönetiminin nasıl gerçekleştirileceğine ve farklı bulut sağlayıcılarının log servislerini nasıl etkili bir şekilde kullanabileceğimize dair detaylı bir analiz sunulacaktır.

Bulut Görünürlüğünün Doğası

Geleneksel ağ yapılarında, trafiği izlemek için fiziki cihazlar kullanılırken, bulut tabanlı altyapılarda her şey yazılım tanımlıdır. Dolayısıyla, fiziksel bir işlem yerine, bir komut dizisi ile altyapıda değişiklikler yapılır. Bulut görünürlüğünün temeli, altyapıyı kontrol eden API çağrılarını izlemede yatar. Bu API çağrıları, bulut içindeki tüm etkinliklerin kaydını tutarak, güvenlik analizine olanak tanır.

AWS Loglarının Kalbi: CloudTrail

AWS üzerinde güvenlik yönetimi için en önemli araçlardan biri olan AWS CloudTrail, hesabınızdaki kimlerin, ne zaman ve hangi IP adresinden işlemler gerçekleştirdiğini kaydeder. CloudTrail, tüm API çağrılarını loglayarak, bulut hesabınızın kara kutusu gibi işlev görür.

Örneğin, CloudTrail kullanarak logları görüntülemek için aşağıdaki komutu kullanabilirsiniz:

aws cloudtrail lookup-events --max-results 5

Bu komut, en son 5 aktiviteyi gösterir. Elde edilen loglar, kullanıcı aktivitelerini analiz etmek ve şüpheli durumları tespit etmek açısından kritik öneme sahiptir.

Bulut Sağlayıcıları ve Temel Log Servisleri

Farklı bulut sağlayıcıları, kullanıcı aktivitelerini izlemek ve kaydetmek için kendilerine özgü log servisleri sunmaktadır. Örneğin:

  • AWS: CloudTrail
  • Microsoft Azure: Activity Log
  • GCP (Google Cloud Platform): Cloud Audit Logs

Her servis, bulut platformuna özgü farklı mimarilerle çalışmaktadır. SOC analistlerinin bu log servislerinin işleyişini anlaması, tehdit avcılığında çok önemlidir.

Microsoft Azure Aktivite Log

Azure üzerinde, aktivite logları belirli bir abonelik düzeyindeki olayları tutar. Kullanıcıların hangi kaynakları oluşturduğunu veya sildiğini izlemek için Azure portalı üzerinden kolayca erişilebilir.

Bir örnek olarak Azure' da logları görüntülemek için şu komutu kullanabilirsiniz:

az monitor activity-log list --max-results 5

Bu komut, son 5 aktiviteyi listeleyecektir.

Google Cloud Audit Logs

GCP üzerinde yöneticilerin ve sistem bileşenlerinin erişim geçmişini görüntülemek için Cloud Audit Logs kullanılır. Aşağıdaki komut ile en son logları çekebilirsiniz:

gcloud logging read "logName=\"projects/YOUR_PROJECT_ID/logs/admin.googleapis.com%2Factivity\"" --limit 5

Bu komut, belirli bir proje üzerindeki yönetim aktivitelerini listeleyecektir.

Bulutun Yeni Sınırı: Kimlik (Identity)

Bulut ortamlarında güvenliği sağlamak için kimlik ve erişim yönetimi (IAM) kritik bir öneme sahiptir. Erişim kontrolleri, bulut kaynaklarına kimin erişebileceğini belirler. Bu teknolojinin iyi bir şekilde yapılandırılması, veri güvenliği için bir güvenlik duvarı oluşturur. IAM yapısını yönetmek için gerekli olan komutlar, genellikle API tabanlıdır ve etkin bir yönetim gerektirir.

Bulut Tehditleri: Cryptojacking Tespiti

Bulut ortamlarına sızan saldırganların sıkça tercih ettiği yöntemlerden biri cryptojacking'tir. Bu tür saldırılarda, kötü niyetli yazılımlar kullanılarak kullanıcının kaynakları üzerinden kripto para kazılması sağlanır. CloudTrail veya Azure Activity loglarında belirli eylem kalıplarını tespit ederek bu saldırıları önceden tahmin etmek mümkündür. Örneğin:

aws cloudtrail lookup-events --lookup-attributes AttributeKey=EventName --AttributeValue=RunInstances

Bu komut, yeni sunucu oluşturma işlemlerini izleyerek olası kötü niyetli aktiviteleri belirlemeye yardımcı olur.

Control Plane ve Data Plane Farkı

Bulut mimarisinin anlaşılmasında önemli bir diğer kavram ise Control Plane ve Data Plane ayrımıdır. Control Plane, altyapı değişikliklerinin kaydedildiği alandır. Örneğin, yeni bir veritabanı oluşturma gibi işlemler varsayılan olarak loglanır. Data Plane ise, oluşturulan verilerin manipülasyonu ile ilgilidir. Verilere erişim ve üzerinde işlem yapma gibi faaliyetler, genellikle manuel loglama gerektirir.

Bu iki düzlemin yönetimi, bulut ortamındaki güvenlik stratejilerinin doğru bir şekilde uygulanmasını sağlayacaktır.

Görünürlüğün Bedeli: Log Optimizasyonu

Bulut ortamlarından elde edilen logların doğru yönetilmesi, maliyet ve performans dengesinin sağlanması açısından önemlidir. Devasa hacimlerde veri üreten loglar, yüksek depolama ve bant genişliği gerektirir. Bu nedenle, “Hangi loglara ihtiyacım var?” sorusunun doğru bir şekilde cevaplanması gerekir. Bu kapsamda, hangi logların güvenlik açısından kritik olduğu belirlenmeli ve bunların izlenmesi öncelik haline getirilmelidir.

Sonuç olarak, bulut altyapılarında log yönetimi, güvenlik analizi ve tehdit tespiti açısından kritik bir role sahiptir. Bu süreçleri doğru bir şekilde yönetmek, siber güvenlik stratejisinin ayrılmaz bir parçasını oluşturur.

Risk, Yorumlama ve Savunma

Risk Yönetimi ve Yorumlama

Bulut altyapısında etkin bir görünürlük sağlamak, organizasyonların güvenlik açıklarını ve olası tehditleri anlamaları açısından kritik öneme sahiptir. Bulut ortamlarının dinamik yapısı, geleneksel güvenlik yaklaşımlarının yeterliliğini sorgulamakta ve yeni yöntemlerin geliştirilmesini zorunlu kılmaktadır. Bu bağlamda, bulut log yönetimi, güvenlik risklerini tanımlamak ve yönetmek için temel bir bileşendir.

Güvenlik Anlamının Yorumlanması

Bulut altyapısından elde edilen log verileri, olası güvenlik risklerinin ve olaylarının yorumlanmasında önemli bir rol oynamaktadır. Loglar, hangi kullanıcıların, hangi kaynaklar üzerinde hangi işlemleri gerçekleştirdiğini ayrıntılı bir şekilde sunar. Örneğin, AWS CloudTrail kullanarak bir kullanıcı tarafından yapılan tüm API çağrıları detaylı bir şekilde kaydedilir:

{
  "eventTime": "2023-10-10T12:00:00Z",
  "eventName": "RunInstances",
  "userIdentity": {
    "type": "IAMUser",
    "principalId": "EXAMPLE123",
    "arn": "arn:aws:iam::123456789012:user/TestUser",
    "accountId": "123456789012"
  },
  "requestParameters": {
    "instanceType": "t2.micro"
  }
}

Bu tür bir log, bir kullanıcının izni olmadan çeşitli kaynakları başlatması gibi bir durumu tespit etmemizi sağlar. Eğer bu tür faaliyetler beklenmiyorsa, potansiyel bir güvenlik ihlali olduğundan bahsedilebilir.

Yanlış Yapılandırma ve Zafiyetler

Yanlış yapılandırılmış hizmetler ve zafiyetler, bulut altyapısının güvenliğini tehlikeye atar. Örneğin, kimlik ve erişim yönetimi (IAM) politikalarındaki hatalar, istenmeyen erişimlere yol açabilir. Özellikle geniş yetki verilen IAM kullanıcıları, bu yetkileri kötüye kullanarak veya hesaplarının ele geçirilmesi durumunda ciddi zararlar verebilir.

Bir örnek verilecek olursa, çok sayıda yüksek kapasiteli sunucu açma yetkisi verilmiş bir IAM kullanıcısının, bu yetkilerini kötüye kullanarak yüksek maliyetler oluşturması mümkündür. Bu tür açıkların önlenmesi için loglar yoluyla sürekli bir denetim mekanizması oluşturulmalıdır.

Sızan Veri, Topoloji ve Servis Tespiti

Loglar, sızan verilerin tespitinde de kullanılabilir. Özellikle içe dışa veri erişiminin izlenmesi, veri sızmalarını erken tespit etme fırsatı sunar. Örneğin, bir kullanıcının gizli dosyalara ya da kritik servislere erişim yetkisi olmadan giriş yapması durumunda, bu loglar üzerinden bir alarm mekanizması tetiklenebilir.

Bunun yanında, bulut altyapınızın topolojisini anlamak, güvenlik açıklarını tespit etmede büyük önem taşır. Bulut sağlayıcılarının sunduğu log hizmetleri olan AWS CloudTrail, Microsoft Azure Activity Log ve GCP Cloud Audit Logs, sistem bileşenlerinin erişim geçmişlerini tutarak gerekli durumlarda güvenlik analizi yapma imkanı sunar.

Profesyonel Önlemler ve Hardening Önerileri

Güvenlik risklerine karşı alınabilecek önlemler ve sistem hardening uygulamaları oldukça çeşitlidir. İlk olarak, IAM politikalarını düzenlemek ve fazla yetki vermekten kaçınmak kritik bir adımdır. Kullanıcı ve grup tabanlı politikalar oluşturularak, her kullanıcının yalnızca ihtiyaç duyduğu erişimlere sahip olması sağlanmalıdır.

Aynı zamanda, logların düzenli olarak incelenmesi ve olağan dışı aktivitelerin izlenmesi sağlanmalı. Bu amaçla, belirli eylem kalıplarının (pattern) tanımlanması ve anomali tespiti sistemlerinin kurulması önerilmektedir. Örneğin; CloudTrail üzerinden yapılan bir kullanıcı işleminin, belirli bir zaman diliminde anormal bir şekilde çok fazla sayıda gerçekleşmesi durumunda alarm verilmesi sağlanmalıdır.

Son olarak, bulut loglarının yüksek bir maliyet yaratmaması için, hangi logların gerekli olduğu belirlenmeli ve log optimizasyonu yapılmalıdır. Bu sayede hem güvenliğiniz artırılırken hem de maliyet yönetimi sağlanabilir.

Sonuç Özeti

Bulut altyapısında güvenlik yönetimi, etkin log yönetimi ile büyük ölçüde desteklenmektedir. Risklerin doğru bir şekilde yorumlanması, yanlış yapılandırmaların ve zafiyetlerin tespit edilmesi, sızan verilerin izlenmesi ve gerekli önlemlerin alınması, bulut ortamının güvenliliği için kritik faktörlerdir. Bu nedenle, risk değerlendirme ve savunma operasyonlarının sürekli olarak güncellenmesi ve iyileştirilmesi sağlanmalıdır.